Skip to main content
Tecnología y Sociedad

¿Qué debes hacer respecto a Heartbleed?

David Talbot11/04/2014febrero 5th, 20254 min leer

Un fallo de larga duración llamado Heartbleed ha debilitado la seguridad básica por todo internet. En teoría, ha logrado desvelar las claves de cifrado, los nombres y contraseñas de usuarios y los datos de las dos terceras partes de los sitios web del mundo. Esto se debe a un error recientemente descubierto en un software llamado OpenSSL, que se supone que permite el intercambio de datos cifrados (ver «El proyecto infrafinanciado para mantener la seguridad de internet«).

¿Y cómo te afecta todo esto? Los usuarios normales de internet realmente no tienen ninguna forma de saber cómo son de seguros o inseguros los sitios web que utilizan, o saber qué hacer, si es que pueden hacer algo, en este punto de la situación. Es cierto que puedes ir aquí para ver si un sitio web de los que usas todavía no ha puesto un parche (si es así, no cambies aún tu contraseña). O visitar este sitio para ver si era vulnerable durante un análisis realizado el martes. Si tuvo problemas y los arreglaron, debes cambiar tu contraseña.

Pero, ¿qué pasa si un sitio web era vulnerable con anterioridad y lo arreglaron sin hacer ruido? Contestar esta pregunta no resulta fácil. ¿Pudo entrar alguien tranquilamente y llevarse algo? Nadie lo sabe. ¿Eran algunos sitios web más seguros que otros todo el tiempo, o fueron más rápidos en corregir el error? Eso es también una caja negra. ¿Los sitios web están hablando claramente sobre sus propias interacciones, si es que las han tenido, con Heartbleed? La otra mañana entré en algunos servicios bancarios y otros sitios web y no encontré ninguna referencia sobre el tema. En pocas palabras: internet puede ser un lugar muy difícil desde el punto de vista de los derechos de los consumidores.

En cuanto a si en realidad se ha producido algún tipo de daño, los peores temores podrían ser infundados. Envié un correo electrónico al criptógrafo del Trinity College de Dublín (Irlanda), Stephen Farrell. Para mejorar la seguridad de internet, está intentando darle un mayor grado de encriptación a las transacciones básicas, algo que lleva a cabo como parte del Internet Engineering Task Force, el grupo de ingenieros que escriben código de internet. «Que no cunda el pánico», me respondió. «Las personas que administran los servidores deberían estar poniendo parches, o haber acabado de ponerlos. Creo que todos los míos están listos. Y la gente normal «debería estar utilizando, como siempre, la versión más actual del navegador».

Pero, ¿cómo de grave es la situación? ¿Se han robado claves de cifrado y se han producido daños? «Todavía no he llegado a una conclusión sobre si todo esto justifica revocar las claves y volver a generarlas. Si bien, en principio, el fallo podría haber extraído claves de los servidores, hasta el momento no he visto detalles sobre si algunas plataformas específicas son más o menos propensas a tener fugas tan graves… Aún no he visto detalles que me ayuden a decidir si tengo que regenerar las claves de mis servidores, así que por ahora no lo he hecho». Me sugirió que algunos sitios web más grandes «probablemente regeneren las claves y obtengan nuevos certificados, pero el proceso debería ser invisible para los usuarios finales». Su evaluación inicial sobre el daño producido es que «por el momento es muy difícil saberlo».

Millones de sitios web permiten la libertad de todo tipo de información, pero sus propias operaciones y nivel de seguridad pueden ser aterradoramente opacos.

MIT Technology Review en español es la edición española de MIT Technology Review, la revista de tecnología e innovación más antigua del mundo.

Quiénes somosEdición GlobalTérminos y Condiciones Política de Privacidad

Contacta con nosotros

Envíanos tus sugerencias o propuestas.

Contacta

Síguenos a través de nuestras redes sociales: